AWS Directory Service – Merkmale

Da es sich bei Verzeichnissen um eine unternehmenskritische Infrastruktur handelt, wird AWS Managed Microsoft AD in einer hochverfügbaren AWS-Infrastruktur und über mehrere Availability Zones hinweg bereitgestellt. Domain-Controller werden standardmäßig über zwei Availability Zones in einer Region bereitgestellt und mit Ihrer Amazon Virtual Private Cloud (VPC) verbunden. Backups werden automatisch einmal pro Tag erstellt und die Amazon Elastic Block Store (EBS)-Volumes werden verschlüsselt, sodass die Daten im Ruhezustand gesichert sind. Ausgefallene Domain-Controller werden automatisch in derselben Availability Zone mit derselben IP-Adresse ersetzt, und eine Notfallwiederherstellung kann mithilfe des neuesten Backups durchgeführt werden.

Wenn Sie Ihr Verzeichnis zum ersten Mal erstellen, stellt AWS Managed Microsoft AD zwei Domain-Controller über mehrere Availability Zones bereit. Dies ist aus Gründen der Hochverfügbarkeit erforderlich. Später können Sie über die AWS-Directory-Service-Konsole zusätzliche Domain-Controller bereitstellen, indem Sie die Gesamtzahl der gewünschten Domain-Controller angeben. AWS Managed Microsoft AD verteilt die zusätzlichen Domain-Controller an die Availability Zones und VPC-Subnetze, in denen Ihr Verzeichnis ausgeführt wird.

AWS Managed Microsoft AD wird in einer von AWS verwalteten Infrastruktur ausgeführt, die von Windows Server 2019 unterstützt wird. Wenn Sie diesen Verzeichnistyp auswählen und starten, wird er als hochverfügbares Paar von Domain-Controllern erstellt, das mit Ihrer Virtual Private Cloud (VPC) verbunden ist. Die Domain-Controller werden in verschiedenen Availability Zones in einer Region Ihrer Wahl ausgeführt. Host-Überwachung und -Wiederherstellung, Datenreplikation, Snapshots und Software-Updates werden für Sie gemäß dem Service Level Agreement (SLA) für AWS Directory Service konfiguriert und verwaltet.

AWS Managed Microsoft AD bietet integrierte, tägliche, automatisierte Snapshots. Sie können vor wichtigen Anwendungsaktualisierungen auch zusätzliche Snapshots erstellen, um sicherzustellen, dass Sie über die aktuellsten Daten verfügen, falls Sie eine Änderung rückgängig machen müssen.

Mit der regionsübergreifenden Replikation können Sie ein einzelnes Verzeichnis für AWS Managed Microsoft AD in mehreren AWS-Regionen bereitstellen und verwenden. Dadurch wird die globale Bereitstellung und Verwaltung Ihrer Microsoft-Windows- und Linux-Workloads einfacher und kostengünstiger für Sie. Mit der automatisierten regionsübergreifenden Replikationsfunktion erhalten Sie eine höhere Ausfallsicherheit, während Ihre Anwendungen für eine optimale Leistung ein lokales Verzeichnis verwenden.

AWS Managed Microsoft AD lässt sich gut in AWS Organizations integrieren, um eine nahtlose Verzeichnisfreigabe über mehrere AWS-Konten hinweg zu ermöglichen. Sie können ein einzelnes Verzeichnis für andere vertrauenswürdige AWS-Konten innerhalb derselben Organisation oder das Verzeichnis für andere AWS-Konten außerhalb Ihrer Organisation freigeben. Sie können Ihr Verzeichnis auch freigeben, wenn Ihr AWS-Konto derzeit kein Mitglied einer Organisation ist.

AWS Managed Microsoft AD ermöglicht es Ihnen, nahtlose Domain-Verknüpfungen für neue und bestehende Instances von Amazon EC2 für Windows Server und Amazon EC2 für Linux zu verwenden. Bei neuen Amazon-EC2-Instances können Sie beim Start der Instance mithilfe der AWS-Managementkonsole die gewünschte Domain festlegen. Vorhandene EC2-Instances lassen sich mit dem EC2Config-Service nahtlos in Domains integrieren. Amazon-EC2-Instances können auch von jedem AWS-Konto und jeder Amazon VPC innerhalb einer Region aus mit einem einzelnen freigegebenen Verzeichnis verknüpft werden.

Mit AWS Managed Microsoft AD können Sie Benutzer und Geräte mithilfe nativer Gruppenrichtlinienobjekte (GPOs) von Microsoft Active Directory verwalten. Verwenden Sie zum Erstellen der Gruppenrichtlinienobjekte vorhandene Tools wie die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC).

Sie können Ihr Schema für AWS Managed Microsoft AD erweitern, indem Sie neue Objektklassen und Attribute hinzufügen. Sie können Schemaerweiterungen auch verwenden, um die Unterstützung für Anwendungen zu aktivieren, die auf bestimmten Active-Directory-Objektklassen und -Attributen basieren. Dies kann besonders nützlich sein, wenn Sie Unternehmensanwendungen, die von AWS Managed Microsoft AD abhängig sind, in die AWS Cloud migrieren müssen. (Quelle)

Administratoren können Service-Konten mithilfe einer Methode verwalten, die als Group Managed Service Accounts (gMSAs) bezeichnet wird. Mithilfe von gMSAs müssen Service-Administratoren die Kennwortsynchronisierung zwischen Service-Instances nicht mehr manuell verwalten. Stattdessen könnte ein Administrator einfach ein gMSA in Active Directory erstellen und dann mehrere Service-Instances für die Verwendung dieses einzelnen gMSA konfigurieren. Um Benutzern in AWS Managed Microsoft AD Berechtigungen zum Erstellen eines gMSA zu gewähren, müssen Sie deren Konten als Mitglied der Sicherheitsgruppe AWS Delegated Managed Service Account Administrators hinzufügen. Standardmäßig ist das Admin-Konto Mitglied dieser Gruppe.

Sie können AWS Managed Microsoft AD mithilfe von AD-Vertrauensbeziehungen in Ihr vorhandenes AD integrieren. Durch die Verwendung von Vertrauensstellungen können Sie Ihr vorhandenes Active Directory verwenden, um zu steuern, welche AD-Benutzer auf Ihre AWS-Ressourcen zugreifen können.

AWS Managed Microsoft AD verwendet die gleiche Kerberos-basierte Authentifizierung wie Ihr vorhandenes On-Premises-AD. Durch die Integration Ihrer AWS-Ressourcen mit AWS Managed Microsoft AD können sich Ihre AD-Benutzer mit einem einzigen Satz von Anmeldeinformationen durch SSO bei AWS-Anwendungen und -Ressourcen anmelden.

Sie können fein abgestufte Verzeichniseinstellungen für Ihr AWS Managed Microsoft AD festlegen, um Ihre Compliance- und Sicherheitsanforderungen zu erfüllen, ohne Ihren betrieblichen Workload zu erhöhen. In den Verzeichniseinstellungen können Sie die Konfiguration des sicheren Kanals für die in Ihrem Verzeichnis verwendeten Protokolle und Verschlüsselungen aktualisieren. Sie haben beispielsweise die Flexibilität, einzelne Legacy-Verschlüsselungen wie RC4 oder DES und Protokolle wie SSL 2.0/3.0 und TLS 1.0/1.1 zu deaktivieren. AWS Managed Microsoft AD stellt anschließend die Konfiguration auf allen Domain-Controllern in Ihrem Verzeichnis bereit, verwaltet Neustarts von Domain-Controllern und behält diese Konfiguration bei, während Sie skalieren oder zusätzliche AWS-Regionen bereitstellen. Alle verfügbaren Einstellungen finden Sie in der Liste der Sicherheitseinstellungen für Verzeichnisse.

Serverseitiges LDAPS verschlüsselt die LDAP-Kommunikation zwischen Ihren kommerziellen oder selbst entwickelten LDAP-fähigen Anwendungen (die als LDAP-Clients fungieren) und AWS Managed Microsoft AD (die als LDAP-Server fungieren). Weitere Informationen finden Sie unter Serverseitiges LDAPS mit AWS Managed Microsoft AD aktivieren.

Clientseitiges LDAPS verschlüsselt die LDAP-Kommunikation zwischen AWS-Anwendungen wie WorkSpaces (die als LDAP-Clients fungieren) und Ihrem selbstverwalteten Active Directory (das als LDAP-Server fungiert). Weitere Informationen finden Sie unter Clientseitiges LDAPS mit AWS Managed Microsoft AD aktivieren.

Die Integration von AWS Managed Microsoft AD und AD Connector mit der AWS Private Certificate Authority (AWS Private CA)-Connector für AD ermöglicht die Registrierung von Objekten, die in die AD-Domain eingebunden sind, einschließlich Benutzern, Gruppen und Rechner, mit Zertifikaten, die von AWS Private CA ausgestellt wurden. Sie können AWS Private CA als Ersatz für Ihre selbstverwalteten Unternehmens-CAs verwenden, ohne dass Sie lokale Agenten oder Proxy-Server bereitstellen, patchen oder aktualisieren müssen. Sie können die AWS-Private CA-Integration in Ihr Verzeichnis mit nur wenigen Klicks oder programmgesteuert über die API einrichten.

Sie können AWS Managed Microsoft AD verwenden, um AD-fähige Cloud-Anwendungen zu erstellen und auszuführen, die dem Federal Risk and Authorization Management Program (FedRAMP) in den USA unterliegen. Health Insurance Portability and Accountability Act (HIPAA) und Compliance-Programme zum Payment Card Industry Data Security Standard (PCI DSS). AWS Managed Microsoft AD reduziert den Aufwand für die Bereitstellung einer konformen AD-Infrastruktur für Ihre Cloud-Anwendungen, da Sie Ihre eigenen HIPAA-Risikomanagementprogramme, PCI DSS oder FedRAMP-Compliance-Zertifizierung verwalten. Hier finden Sie die vollständige Liste der Compliance-Programme, für die AWS Managed AD berechtigt ist.

Mithilfe des Amazon Simple Notification Service (Amazon SNS) können Sie E-Mail- oder Textnachrichten (SMS) erhalten, wenn sich der Status Ihres Verzeichnisses ändert. Sie werden benachrichtigt, wenn Ihr Verzeichnis vom Status Aktiv in den Status Beeinträchtigt oder Nicht funktionsfähig wechselt. Sie erhalten außerdem eine Benachrichtigung, wenn das Verzeichnis wieder in den aktiven Status wechselt.

AWS Directory Service lässt sich in Amazon CloudWatch integrieren, um Ihnen wichtige Leistungsmetriken für jeden Domain-Controller in Ihrem Verzeichnis bereitzustellen. Dies bedeutet, dass Sie Leistungsindikatoren für Domain-Controller wie z. B. die CPU- und Arbeitsspeicherauslastung überwachen können. Sie können auch Alarme konfigurieren und automatische Aktionen initiieren, um auf Zeiten mit hoher Auslastung zu reagieren. 

Verwenden Sie entweder die AWS-Directory-Service-Konsole oder APIs, um Sicherheitsereignisprotokolle des Domain-Controllers an Amazon CloudWatch Logs weiterzuleiten. Dadurch können Sie Ihre Richtlinien zur Sicherheitsüberwachung, Überprüfung und Aufbewahrung von Protokollen einhalten, indem Transparenz über die Sicherheitsereignisse in Ihrem Verzeichnis geschaffen wird. Sie können auch Protokolle von Sicherheitsereignissen aus Ihrem Verzeichnis an Amazon CloudWatch Logs in dem Amazon Web Services (AWS)-Konto Ihrer Wahl weiterleiten und Ereignisse mithilfe von AWS-Services oder Anwendungen von Drittanbietern wie Splunk, einem Advanced Technology Partner des AWS-Partnernetzwerk (APN) mit der AWS Security Competency, zentral überwachen.

Sie können Ihren On-Premises-AD-Benutzern Zugang zur Anmeldung bei der AWS-Managementkonsole und AWS CLI mit ihren vorhandenen AD-Anmeldeinformationen mit AWS Identity Center (Nachfolger von AWS SSO) gewähren, indem Sie AWS Managed Microsoft AD als Identitätsquelle auswählen. Dies ermöglicht es Ihren Benutzern, bei der Anmeldung eine der ihnen zugewiesenen Rollen zu übernehmen und entsprechend den für die Rolle definierten Berechtigungen auf die Ressourcen zuzugreifen und entsprechende Maßnahmen zu ergreifen. Eine Alternative ist die Verwendung von AWS Managed Microsoft AD, damit Ihre Benutzer eine AWS Identity und Access Management(IAM)-Rolle übernehmen können.

AWS Managed Microsoft AD ermöglicht es Ihnen, ein einziges Verzeichnis für Ihre verzeichnisorientierten Workloads in AWS-Ressourcen wie Instances zu Amazon EC2, Instances zu Amazon RDS für SQL Server sowie Services zu AWS End User Computing wie Amazon WorkSpaces zu verwenden. Durch die Freigabe eines Verzeichnisses können Ihre Workloads mit Verzeichnisfunktion Amazon-EC2-Instances über mehrere AWS-Konten und Amazon VPCs innerhalb einer Region verwalten. Sie können dadurch auch die Komplexität der Replikation und Synchronisierung von Daten in mehreren Verzeichnissen vermeiden.